Se ha atribuido a un presunto actor de ciberespionaje del nexo con China estar detr\u00e1s de un ataque prolongado contra una organizaci\u00f3n an\u00f3nima ubicada en el este de Asia durante un per\u00edodo de aproximadamente tres a\u00f1os, en el que el adversario estableci\u00f3 persistencia utilizando dispositivos F5 BIG-IP heredados y utiliz\u00e1ndolos como sistema interno. comando y control (C&C) con fines de evasi\u00f3n de defensa.<\/p>\n
La empresa de ciberseguridad Sygnia, que respondi\u00f3 a la intrusi\u00f3n a finales de 2023, est\u00e1 rastreando la actividad con el nombre Hormiga de terciopelo<\/strong>caracteriz\u00e1ndolo por poseer capacidades s\u00f3lidas para girar y adaptar r\u00e1pidamente sus t\u00e1cticas a los esfuerzos de contrarrestaci\u00f3n.<\/p>\n “Velvet Ant es un actor de amenazas sofisticado e innovador”, afirma la empresa israel\u00ed dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News. “Recopilaron informaci\u00f3n confidencial durante un largo per\u00edodo de tiempo, centr\u00e1ndose en la informaci\u00f3n financiera y de los clientes”.<\/p>\n Las cadenas de ataque implican el uso de una puerta trasera conocida llamada PlugX (tambi\u00e9n conocida como Korplug), un troyano modular de acceso remoto (RAT) que ha sido ampliamente utilizado<\/a> por operadores de espionaje<\/a> con v\u00ednculos con intereses chinos. Se sabe que PlugX depende en gran medida de una t\u00e9cnica llamada Carga lateral de DLL<\/a> para infiltrarse en los dispositivos.<\/p>\n Sygnia dijo que tambi\u00e9n identific\u00f3 intentos por parte del actor de amenazas de desactivar el software de seguridad de endpoints antes de instalar PlugX, con herramientas de c\u00f3digo abierto como Impacket utilizadas para el movimiento lateral.<\/p>\n Tambi\u00e9n se identific\u00f3 como parte de los esfuerzos de respuesta y remediaci\u00f3n de incidentes una variante reelaborada de PlugX que utilizaba un servidor de archivos interno para C&C, permitiendo as\u00ed que el tr\u00e1fico malicioso se mezclara con la actividad leg\u00edtima de la red.<\/p>\n “Esto signific\u00f3 que el actor de amenazas implement\u00f3 dos versiones de PlugX dentro de la red”, se\u00f1al\u00f3 la compa\u00f1\u00eda. “La primera versi\u00f3n, configurada con un servidor C&C externo, se instal\u00f3 en puntos finales con acceso directo a Internet, lo que facilit\u00f3 la filtraci\u00f3n de informaci\u00f3n confidencial. La segunda versi\u00f3n no ten\u00eda una configuraci\u00f3n C&C y se implement\u00f3 exclusivamente en servidores heredados”.<\/p>\n En particular, se descubri\u00f3 que la segunda variante hab\u00eda abusado de dispositivos F5 BIG-IP obsoletos como un canal encubierto para comunicarse con el servidor C&C externo mediante la emisi\u00f3n de comandos a trav\u00e9s de un t\u00fanel SSH inverso, lo que resalta una vez m\u00e1s c\u00f3mo los dispositivos de borde comprometedores pueden permitir que los actores de amenazas ganen persistencia durante largos per\u00edodos de tiempo.<\/p>\n “S\u00f3lo se requiere una cosa para que ocurra un incidente de explotaci\u00f3n masiva, y es un servicio de borde vulnerable, es decir, una pieza de software al que se puede acceder desde Internet”, WithSecure dicho<\/a> en un an\u00e1lisis reciente.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Hackers-vinculados-a-China-se-infiltran-en-una-empresa-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n